本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 启用 Security Hub CSPM
有两种方法可以启用 Sec AWS urity Hub CSPM,即与集成 AWS Organizations 或手动集成。
在多账户和多区域环境中,我们强烈建议与 Organizations 集成。如果您有独立账户,则需要手动设置 Security Hub CSPM。
## 确认必要的权限
在注册 Amazon Web Services(AWS)之后,您必须启用 Security Hub CSPM 才能使用其功能和特性。要使用 Security Hub CSPM,您必须设置权限来允许访问 Security Hub CSPM 控制台和 API 操作。为此,您或您的 AWS 管理员可以使用 AWS Identity and Access Management (IAM) 将名为的 AWS 托管策略附加`AWSSecurityHubFullAccess`到您的 IAM 身份。
要通过 Organizations 集成启用和管理 Security Hub CSPM,还应附加名为的 AWS 托管策略。`AWSSecurityHubOrganizationsAccess`
有关更多信息,请参阅 [AWS Security Hub 的托管策略](security-iam-awsmanpol.md)。
## 启用 Security Hub CSPM 与 Organizations 的集成
要开始使用 Security Hub CSPM AWS Organizations,组织的 AWS Organizations 管理账户需要将一个账户指定为该组织委派的 Security Hub CSPM 管理员帐户。Security Hub CSPM 会在当前区域的委派管理员账户中自动启用。
选择您的首选方法,然后按照步骤指定委派管理员账户。
------
#### [ Security Hub CSPM console ]
**在注册时指定 Security Hub CSPM 委派管理员**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 选择**转到 Security Hub CSPM**。系统会提示您登录到组织管理账户。
1. 在**指定委派管理员**页面的**委派管理员账户**部分,指定委派管理员账户。我们建议选择您为其他 AWS 安全与合规服务设置的相同委派管理员。
1. 选择**设置委派管理员**。
------
#### [ Security Hub CSPM API ]
从组织管理账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) API。提供 Security Hub CSPM 委派管理员账户的 AWS 账户 ID。
------
#### [ AWS CLI ]
从 Organizations 管理账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) 命令。提供 Security Hub CSPM 委派管理员账户的 AWS 账户 ID。
**命令示例:**
```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```
------
有关与 Organizations 集成的更多信息,请参阅[将 Security Hub CSPM 与 AWS Organizations](designate-orgs-admin-account.md)。
### 中心配置
在集成 Security Hub CSPM 和 Organizations 时,您可以选择使用一项名为[中心配置](central-configuration-intro.md)的功能来为组织设置和管理 Security Hub CSPM。我们强烈建议使用中心配置,因为其可让管理员为组织自定义安全范围。在适当情况下,委派管理员可以允许成员账户配置自己的安全范围设置。
中央配置允许授权的管理员跨账户、 OUs和配置 Security Hub CSPM。 AWS 区域委派管理员通过创建配置策略来配置 Security Hub CSPM。在配置策略中,您可以指定以下设置:
+ 启用还是禁用 Security Hub CSPM
+ 哪些安全标准已启用和禁用
+ 哪些安全控件已启用和禁用
+ 是否自定义所选控件的参数
作为委托管理员,您可以为整个组织创建单一的配置策略,也可以为不同的账户创建不同的配置策略 OUs。例如,测试账户和生产账户可以使用不同的配置策略。
使用配置策略的成员账户是*集中管理*的,只能由授权的管理员进行配置。 OUs 授权的管理员可以将特定的成员帐户指定 OUs 为*自我管理*帐户,从而使成员能够 Region-by-Region根据需要配置自己的设置。
如果您不使用中心配置,则必须主要在每个账户和区域中单独配置 Security Hub CSPM。这称为[本地配置](local-configuration.md)。在本地配置下,委派管理员可以在当前区域的新组织账户中自动启用 Security Hub CSPM 和一组有限的安全标准。本地配置不适用于现有组织账户或当前区域以外的其他区域。本地配置也不支持使用配置策略。
## 手动启用 Security Hub CSPM
如果您有独立账户或未与集成,则必须手动启用 Security Hub CSPM。 AWS Organizations独立账户无法集成 AWS Organizations ,必须使用手动启用。
手动启用 Security Hub CSPM 时,您可以指定一个 Security Hub CSPM 管理员账户并邀请其他账户成为成员账户。当潜在成员账户接受邀请时,管理员与成员的关系即已建立。
选择您喜欢的方法,然后按照以下步骤启用 Security Hub CSPM。从控制台中启用 Security Hub CSPM 时,您还可以选择启用支持的安全标准。
------
#### [ Security Hub CSPM console ]
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 首次打开 Security Hub CSPM 控制台时,选择**前往 Security Hub CSPM**。
1. 在欢迎页面上,**安全标准**部分列出了 Security Hub CSPM 支持的安全标准。
选中标准的复选框即可将其启用,取消选中该复选框即可将其禁用。
您可以随时启用或禁用标准或其各个控制。有关管理安全标准的信息,请参阅[了解 Security Hub CSPM 中的安全标准](standards-view-manage.md)。
1. 选择**启用 Security Hub**。
------
#### [ Security Hub CSPM API ]
调用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html) API。从 API 中启用 Security Hub CSPM 时,它会自动启用以下默认安全标准:
+ AWS 基础安全最佳实践
+ 互联网安全中心 (CIS) AWS 基金会基准测试 v1.2.0
如果您不想启用这些标准,请将 `EnableDefaultStandards` 设置为 `false`。
您也可以使用 `Tags` 参数为 hub 资源分配标签值。
------
#### [ AWS CLI ]
运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html) 命令。要启用默认标准,请包括 `--enable-default-standards`。若不启用默认标准,请包括 `--no-enable-default-standards`。默认安全标准如下:
+ AWS 基础安全最佳实践
+ 互联网安全中心 (CIS) AWS 基金会基准测试 v1.2.0
```
aws securityhub enable-security-hub [--tags ] [--enable-default-standards | --no-enable-default-standards]
```
**示例**
```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```
------
### 多账户启用脚本
**注意**
我们建议不要使用此脚本,而是使用中心配置在多个账户和区域中启用和配置 Security Hub CSPM。
中的 S [ecurity Hub CSPM 多账户启用脚本 GitHub允许您跨账户和地区](https://github.com/awslabs/aws-securityhub-multiaccount-scripts)启用 Security Hub CSPM。该脚本还自动执行向成员账户发送邀请并启用 AWS Config的流程。
该脚本会自动为所有区域的所有资源(包括全球资源)启用 AWS Config 资源记录。它不会将全局资源的记录限制在单个区域。为了节省成本,我们建议仅在一个区域内记录全局资源。如果您使用中心配置或跨区域聚合,则这应是您的主区域。有关更多信息,请参阅 [在中录制资源 AWS Config](securityhub-setup-prereqs.md#config-resource-recording)。
有一个相应的脚本可以跨账户和区域禁用 Security Hub CSPM。
## 后续步骤:状况管理和集成
启用 Security Hub CSPM 后,我们建议启用安全标准和控件以监控您的安全状况。启用控制后,Security Hub CSPM 开始运行安全检查并生成控制结果,以帮助您检测环境中的错误配置。 AWS 要接收控制结果,必须启用和配置 S AWS Config ecurity Hub CSPM。有关更多信息,请参阅 [为 Security Hub CSPM 启用和配置 AWS Config](securityhub-setup-prereqs.md)。
启用 Security Hub CSPM 后,你还可以利用 Security Hub CSPM 与其他 AWS 服务 和第三方解决方案之间的集成,在 Security Hub CSPM 中查看他们的发现。Security Hub CSPM 聚合了来自不同来源的调查发现,并以一致的格式提取它们。有关更多信息,请参阅 [了解 Security Hub CSPM 中的集成](securityhub-findings-providers.md)。
# 为 Security Hub CSPM 启用和配置 AWS Config
AWS Security Hub CSPM 使用 AWS Config 规则来运行安全检查并生成大多数控件的调查结果。 AWS Config 提供了中 AWS 资源配置的详细视图 AWS 账户。它使用规则为您的资源建立基准配置,并使用配置记录器来检测特定资源是否违反了规则的条件。
有些规则(称为托 AWS Config 管规则)是由预定义和开发的 AWS Config。其他规则是 Security Hub CSPM 开发的自定义 AWS Config 规则。 AWS Config Security Hub CSPM 用于控制的规则称为*服务相关*规则。服务相关规则允许 AWS 服务 诸如 Security Hub CSPM 之类的服务关联规则在您的账户中创建 AWS Config 规则。
要在 Security Hub CSPM 中接收控制结果,必须 AWS Config 为自己的账户启用控制结果。您还必须为已启用控件所评估的资源类型启用资源记录。然后,Security Hub CSPM 可以为控件创建相应的 AWS Config 规则,开始运行安全检查并生成控件的调查结果。
**Topics**
+ [启用和配置前的注意事项 AWS Config](#securityhub-prereq-config)
+ [在中录制资源 AWS Config](#config-resource-recording)
+ [启用和配置的方法 AWS Config](#config-how-to-enable)
+ [了解 Config.1 控件](#config-1-overview)
+ [生成服务相关规则](#securityhub-standards-generate-awsconfigrules)
+ [成本注意事项](#config-cost-considerations)
## 启用和配置前的注意事项 AWS Config
要在 Security Hub CSPM 中接收控制结果, AWS Config 必须在每个启用 Security Hub CSPM AWS 区域 的地方为你的账户启用控制结果。如果您将 Security Hub CSPM 用于多账户环境,则必须在每个区域中为管理员账户和所有成员账户启用 AWS Config 。
我们强烈建议您在启用任何 Security Hub CSPM 标准和控件 AWS Config *之前*打开资源记录。这有助于确保您的控件调查发现准确无误。
要开启资源记录功能 AWS Config,您必须具有足够的权限才能记录附加到配置记录器的 AWS Identity and Access Management (IAM) 角色中的资源。此外,请确保任何 IAM 策略或 AWS Organizations 策略都不会 AWS Config 阻止您获得记录资源的权限。Security Hub CSPM 控件直接评估资源配置,不考虑 AWS Organizations 策略。有关 AWS Config 记录的更多信息,请参阅《AWS Config 开发人员指南》**中的[使用配置记录器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。
如果您在 Security Hub CSPM 中启用了标准但尚未启用 AWS Config,则 Security Hub CSPM 会尝试按照以下计划创建与服务相关的 AWS Config 规则:
+ 启用标准当天。
+ 启用标准后的第二天。
+ 启用标准后的 3 天。
+ 启用标准后的 7 天,此后连续每 7 天一次。
如果您使用集中配置,则每次将启用一个或多个标准的配置策略与账户、组织单位 (OUs) 或根关联时,Security Hub CSPM 也会尝试创建与服务相关的 AWS Config 规则。
## 在中录制资源 AWS Config
启用后 AWS Config,必须指定要 AWS Config 配置记录器记录哪些 AWS 资源。通过服务相关规则,配置记录器允许 Security Hub CSPM 检测对您的资源配置所做的更改。
要使 Security Hub CSPM 生成准确的控件调查发现,您必须在 AWS Config 中为与已启用的控件对应的资源类型启用记录。它主要启用具有*变更已触发*计划类型的控件,这些控件需要资源记录。某些具有*定期*计划类型的控件也需要资源记录。有关这些控件及其对应资源的列表,请参阅[控制结果所需的 AWS Config 资源](controls-config-resources.md)。
**警告**
如果您没有为 Security Hub CSPM 控件正确配置 AWS Config 录制,则可能会导致控制结果不准确,尤其是在以下情况下:
您从未为给定控件记录资源,或者在创建该类型资源之前禁用了资源的记录。在这些情况下,即使您在禁用记录后创建了该控件范围内的资源,您也会收到有关该控件的 `WARNING` 调查发现。此 `WARNING` 调查发现为默认调查发现,实际上并不评估资源的配置状态。
您可以对特定控件评估的资源禁用记录。在这种情况下,即使控件未评估新的或更新的资源,Security Hub CSPM 也会保留在您禁用记录之前生成的控件调查发现。Security Hub CSPM 还将调查发现的合规状态更改为 `WARNING`。这些保留的调查发现可能无法准确反映资源的当前配置状态。
默认情况下, AWS Config 记录它在运行时发现的所有支持的*区域资源*。 AWS 区域 要接收所有 Security Hub CSPM 控制结果,还必须配置 AWS Config 为记录*全局*资源。为了节省成本,我们建议仅在一个区域内记录全局资源。如果您使用中心配置或跨区域聚合,则此区域应是您的主区域。
在中 AWS Config,您可以在*连续记录*和*每日记录*资源状态变化之间进行选择。如果您选择每日记录,则如果资源状态发生变化,则会在每 24 小时结束时 AWS Config 提供资源配置数据。如果没有任何更改,则不会传送任何数据。这可能会延迟变更触发的控件的 Security Hub CSPM 调查发现的生成,直到 24 小时期限结束。
有关 AWS Config 录制的更多信息,请参阅《*AWS Config 开发者指南》*中的[录制 AWS 资源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。
## 启用和配置的方法 AWS Config
您可以通过以下任一方式启用 AWS Config 和开启资源记录:
+ **AWS Config 控制台**-您可以使用控制 AWS Config 台 AWS Config 为帐户启用。有关说明,请参阅[《*AWS Config 开发者指南》*中的 AWS Config 使用控制台进行设置](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)。
+ **AWS CLI 或 SDKs** — 您可以使用 AWS Command Line Interface (AWS CLI) AWS Config 为账户启用。有关说明,请参阅《*AWS Config 开发者指南*[》 AWS CLI中的 AWS Config 使用进行设置](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html)。 AWS 软件开发套件 (SDKs) 也适用于多种编程语言。
+ **CloudFormation 模板**-要 AWS Config 为许多账户启用,我们建议使用名为 “**启用**” 的 AWS CloudFormation 模板 AWS Config。要访问此模板,请参阅《*AWS CloudFormation 用户指南*》中的[AWS CloudFormation StackSet 示例模板](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html)。
默认情况下,此模板会排除 IAM 全局资源的记录。为了节省记录成本,请确保仅在一个 AWS 区域 中启用 IAM 全局资源的记录。如果启用了跨区域聚合,则此区域应为您的 [Security Hub CSPM 主区域](finding-aggregation.md)。否则,它可以是任何支持 IAM 全局资源记录且 Security Hub CSPM 可用的区域。我们建议运行一个 StackSet 来记录主区域或其他选定区域中的所有资源,包括 IAM 全球资源。然后,运行一秒钟 StackSet 以记录除其他区域的 IAM 全球资源之外的所有资源。
+ **GitHub 脚本 — S** ecurity Hub CSPM 提供的[GitHub脚本](https://github.com/awslabs/aws-securityhub-multiaccount-scripts)可以启用 Security Hub CSPM 以及跨区域 AWS Config 的多个账户。如果您尚未与组织集成 AWS Organizations,或者您的某些成员帐户不是组织的一部分,则此脚本非常有用。
有关更多信息,请参阅*AWS 安全博客上的以下博客文章:针对 Securit* y [Hub CSPM AWS Config 进行 AWS 优化,以有效管理您的云安全态势](https://aws.amazon.com/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage-your-cloud-security-posture/)。
## 了解 Config.1 控件
在 Security Hub CSPM 中,如果 AWS Config 禁用了 C [onfig.1](config-controls.md#config-1) 控件,则会在你的账户中生成`FAILED`调查结果。如果 AWS Config 启用了资源记录但未开启资源记录,它还会在您的账户中生成`FAILED`调查结果。
如果已启用 AWS Config 且资源记录已开启,但未为已启用的控件所检查的资源类型开启资源记录,则 Security Hub CSPM 会为 Config.1 控件生成`FAILED`查找结果。除了此 `FAILED` 调查发现外,Security Hub CSPM 还会针对已启用控件以及该控件检查的资源类型生成 `WARNING` 调查发现。例如,如果您启用了 [KMS.5](kms-controls.md#kms-5) 控件但未为其开启资源记录,则 Security AWS KMS keys Hub CSPM 会为 Config.1 控件生成`FAILED`查找结果。Security Hub CSPM 还会为 KMS.5 控件和您的 KMS 密钥生成 `WARNING` 调查发现。
要接收 Config.1 控件的 `PASSED` 调查发现,请为与已启用控件对应的所有资源类型启用资源记录。同时禁用您的组织不需要的控件。这有助于确保您的安全控件检查中没有配置漏洞。它还有助于确保您收到有关错误配置的资源的准确调查发现。
如果您是某个组织的 Security Hub CSPM 委派管理员,则必须为您的账户和成员账户正确配置 AWS Config 记录。如果您使用跨区域聚合,则必须在主区域和所有关联区域中正确配置 AWS Config 录制。关联区域中无需记录全局资源。
## 生成服务相关规则
对于每个使用服务相关 AWS Config 规则的控件,Security Hub CSPM 都会在您的环境中创建所需规则的实例。 AWS
这些服务相关规则特定于 Security Hub CSPM。即使已存在相同规则的其他实例,Security Hub CSPM 也会创建这些服务相关规则。服务相关规则在原始规则名称前添加 `securityhub`,并在规则名称后添加唯一标识符。例如,对于 AWS Config 托管规则`vpc-flow-logs-enabled`,服务相关规则的名称可能是。`securityhub-vpc-flow-logs-enabled-12345`
可用于评估控制的 AWS Config 托管规则数量有配额。 AWS Config Security Hub CSPM 创建的规则不计入这些配额。即使您的账户中已达到托管规则的 AWS Config 配额,也可以启用安全标准。要了解有关 AWS Config 规则配额的更多信息,请参阅*AWS Config 开发人员指南 AWS Config*中的[服务限制](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html)。
## 成本注意事项
Security Hub CSPM 可以通过更新 AWS Config 配置项目来影响您的`AWS::Config::ResourceCompliance`配置记录器成本。每当与 AWS Config 规则关联的 Security Hub CSPM 控件更改合规状态、启用或禁用或更新参数时,都会进行更新。如果您仅将 AWS Config 配置记录器用于 Security Hub CSPM,并且不将此配置项目用于其他用途,我们建议您在中关闭其录制功能。 AWS Config这可以降低您的 AWS Config 成本。您无需为安全检查记录 `AWS::Config::ResourceCompliance` 即可在 Security Hub CSPM 中工作。
有关与资源记录关联的成本的信息,请参阅 [AWS Security Hub CSPM 定价](https://aws.amazon.com/security-hub/pricing/)和 [AWS Config 定价](https://aws.amazon.com/config/pricing/)。
# 了解 Security Hub CSPM 中的本地配置
本地配置是在 Security Hub CSPM 中配置 AWS 组织的默认方式。如果您不选择启用中心配置,则组织会默认使用本地配置。
在本地配置下,Security Hub CSPM 委派管理员账户对配置设置的控制有限。委派管理员可以强制实施的唯一设置是在新的组织账户中自动启用 Security Hub CSPM 和默认安全标准。这些设置仅适用于您在其中指定了委派管理员账户的区域。默认安全标准是 AWS 基础安全最佳实践 (FSBP) 和互联网安全中心 (CIS) AWS 基金会基准 v1.2.0。本地配置设置不适用于现有组织账户,也不适用于在其中指定了委派管理员账户的区域以外的区域。
除了在单个区域的新组织账户中启用 Security Hub CSPM 和默认标准外,您还必须在每个区域和账户中单独配置其他 Security Hub CSPM 设置,包括标准和控件。由于这可能是一个重复的过程,因此,如果以下一项或多项适用于您,我们建议您在多账户环境中使用中心配置:
+ 您需要为组织的不同部分使用不同的配置设置(例如,为不同的团队启用不同的标准或控件)。
+ 您在多个区域开展业务,并希望减少在这些区域配置服务的时间和复杂性。
+ 您希望新账户在加入组织时使用特定的配置设置。
+ 您希望组织账户从父账户或根账户继承特定配置设置。
有关中心配置的信息,请参阅[了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。
# 了解 Security Hub CSPM 中的中心配置
中央配置是 S AWS ecurity Hub CSPM 的一项功能,可帮助您跨多个和设置和管理 Security Hub CSPM。 AWS 账户 AWS 区域要使用集中配置,必须先集成 Security Hub CSPM 和。 AWS Organizations您可以通过创建组织并为该组织指定 Security Hub CSPM 委派管理员账户来集成服务。
通过委派的 Security Hub CSPM 管理员帐户,您可以跨区域为组织的账户和组织单位 () OUs 启用 Security Hub CSPM。您还可以为账户和 OUs 跨区域启用、配置和禁用个人安全标准和安全控制。只需几个步骤即可从一个主要区域(称为*主区域*)配置这些设置。
使用集中配置时,授权的管理员可以选择 OUs 要配置的帐户。如果委派管理员将成员账户或 OU 指定为*自行管理*,则该成员可以在每个区域中单独配置自己的设置。如果委派管理员将成员账户或 OU 指定为*集中管理*,则只有委派管理员才能跨区域配置成员账户或 OU。您可以将组织 OUs 中的所有账户指定为集中管理、全部自我管理或两者兼而有之。
要配置集中管理账户,委派管理员使用 Security Hub CSPM 配置策略。配置策略允许委派管理员指定是启用还是禁用 Security Hub CSPM,以及启用或禁用哪些标准控件。它们还可以用来自定义某些控件的参数。
配置策略在主区域和所有关联区域生效。委派管理员在开始使用中心配置之前指定组织的主区域和关联区域。指定关联区域是可选的。授权的管理员可以为整个组织创建单个配置策略,也可以创建多个配置策略来为不同的账户和配置变量设置OUs。
**提示**
如果您不使用中心配置,则必须主要在每个账户和区域中单独配置 Security Hub CSPM。这称为*本地配置*。在本地配置下,委派管理员可以在当前区域的新组织账户中自动启用 Security Hub CSPM 和一组有限的安全标准。本地配置不适用于现有组织账户或当前区域以外的其他区域。本地配置也不支持使用配置策略。
本部分提供中心配置概述。
## 使用中心配置的优势
中心配置的优势包括以下内容:
**简化 Security Hub CSPM 服务和功能的配置**
当您使用中心配置时,Security Hub CSPM 会引导您完成为组织配置安全最佳实践的过程。它还会 OUs 自动将生成的配置策略部署到指定的账户。如果您已有 Security Hub CSPM 设置,例如自动启用新的安全控件,则可以将其用作配置策略的起点。此外,Securit **y** Hub CSPM 控制台上的 “配置” 页面会显示您的配置策略以及哪些账户和 OUs 使用每个策略的实时摘要。
**跨账户和区域进行配置**
您可以使用中心配置跨多个账户和区域配置 Security Hub CSPM。这有助于确保组织的每个部分都保持一致的配置和足够的安全覆盖。
**在不同的账户中适应不同的配置 OUs**
通过集中配置,您可以选择以不同的 OUs 方式配置组织的帐户。例如,您的测试账户和生产账户可能需要不同的配置。您还可以创建配置策略,以在新账户加入组织后涵盖这些新账户。
**防止配置偏差**
当用户对与委派管理员的选择冲突的服务或功能进行更改时,会发生配置偏差。中心配置可防止这种偏差。当您将账户或 OU 指定为集中管理时,只能由该组织的委派管理员对其进行配置。如果您希望特定账户或 OU 自行配置设置,则可以将其指定为自行管理。
## 何时使用中心配置?
对于包含多个 Security Hub CSPM 帐户的 AWS 环境,集中配置最有利。它旨在帮助您集中管理多个账户的 Security Hub CSPM。
您可以使用中心配置来配置 Security Hub CSPM 服务、安全标准和安全控件。您也可以使用它来自定义某些控件的参数。有关安全标准的更多信息,请参阅 [了解 Security Hub CSPM 中的安全标准](standards-view-manage.md)。有关安全控件的更多信息,请参阅[了解 Security Hub CSPM 中的安全控件](controls-view-manage.md)。
## 中心配置术语和概念
了解以下关键术语和概念可以帮助您使用 Security Hub CSPM 中心配置。
**中心配置**
Security Hub CSPM 的一项功能,可帮助组织的 Security Hub CSPM 委派管理员账户跨多个账户和区域配置 Security Hub CSPM 服务、安全标准和安全控件。要配置这些设置,委派管理员为其组织中的集中管理账户创建并管理 Security Hub CSPM 配置策略。自行管理账户可以在每个区域单独配置自己的设置。要使用集中配置,必须集成 Security Hub CSPM 和。 AWS Organizations
**主区域**
委托管理员通过创建和管理配置策略 AWS 区域 从中集中配置 Security Hub CSPM。配置策略在主区域和所有关联区域生效。
主区域还充当 Security Hub CSPM 聚合区域,接收来自关联区域的发现、见解和其他数据。
在 2019 年 3 月 20 日当天或之后 AWS 推出的区域被称为选择加入区域。选择加入区域不能是主区域,但可以是关联区域。有关选择加入区域的列表,请参阅《AWS 账户管理参考指南》**中的[启用和禁用区域之前的注意事项](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)。
**关联区域**
AWS 区域 可以从家乡区域进行配置。配置策略由主区域的委派管理员创建。这些策略在主区域和所有关联的区域生效。指定关联区域是可选的。
关联区域还会将调查发现、见解和其他数据发送到主区域。
在 2019 年 3 月 20 日当天或之后 AWS 推出的区域被称为选择加入区域。必须先为账户启用这样的区域,然后才能对其应用配置策略。组织管理账户可以为成员账户启用选择加入区域。有关更多信息,请参阅《[账户*管理参考指南》中的指定 AWS 区域 您的AWS 账户*可以使用哪个](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable)账户。
** 目标**
AWS 账户、组织单位 (OU) 或组织根目录。
**Security Hub CSPM 配置策略**
一组 Security Hub CSPM 设置,委派管理员可以为集中管理目标配置这些设置。这包括:
+ 是启用还是禁用 Security Hub CSPM。
+ 是否启用一个或多个[安全标准](standards-reference.md)。
+ 在已启用的标准中启用哪些[安全控件](securityhub-controls-reference.md)。委派管理员可以通过提供应启用的特定控件列表来实现此目的,Security Hub CSPM 会禁用所有其他控件(包括在新控件发布时直接禁用)。或者,委派管理员可以提供应禁用的特定控件列表,并且 Security Hub CSPM 会启用所有其他控件(包括在新控件发布时直接启用)。
+ (可选)在已启用的标准中为选定的已启用控件[自定义参数](custom-control-parameters.md)。
配置策略在与至少一个账户、组织单元(OU)或根关联后,将在主区域和所有关联区域中生效。
在 Security Hub CSPM 控制台上,委派管理员可以选择 Security Hub CSPM 推荐的配置策略或创建自定义配置策略。使用 Security Hub CSPM API 和 AWS CLI,委托的管理员只能创建自定义配置策略。委派管理员最多可以创建 20 个自定义配置策略。
在推荐的配置策略中,Security Hub CSPM、 AWS 基础安全最佳实践(FSBP)标准以及所有现有和新的 FSBP 控件均已启用。接受参数的控件使用默认值。推荐的配置策略适用于整个组织。
要对组织应用不同的设置,或者将不同的配置策略应用于不同的账户 OUs,然后创建自定义配置策略。
**本地配置**
在集成 Security Hub CSPM 和之后,组织的默认配置类型。 AWS Organizations通过本地配置,委派管理员可以选择在当前区域的*新*组织账户中自动启用 Security Hub CSPM 和[默认安全标准](securityhub-auto-enabled-standards.md)。如果委派管理员自动启用默认标准,则属于这些标准的所有控件也会自动启用,附带新组织账户的默认参数。这些设置不适用于现有账户,因此账户加入组织后可能会出现配置偏差。必须分别在每个账户和区域中禁用属于默认标准的特定控件以及配置其他标准和控件。
本地配置不支持使用配置策略。要使用配置策略,必须切换到中心配置。
**手动账户管理**
如果您未将 Security Hub CSPM 与 Security Hub CSPM 集成, AWS Organizations 或者您拥有独立账户,则必须在每个区域中分别为每个账户指定设置。手动账户管理不支持使用配置策略。
**中心配置 APIs**
Security Hub CSPM 操作,只有 Security Hub CSPM 委派的 Security Hub CSPM 管理员才能在主区域中使用,以管理集中管理账户的配置策略。操作包括:
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`
**特定于账户 APIs**
Security Hub CSPM 操作,可用于在基础上启用或禁用 Security Hub CSPM、标准和控件。 account-by-account这些操作用于每个单独的区域。
自行管理账户可以使用特定于账户的操作来配置自己的设置。集中管理的账户不能在主区域和关联区域使用以下特定于账户的操作。在这些区域中,只有委派管理员才能通过中心配置操作和配置策略对集中管理的账户进行配置。
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
要查看账户状态,集中管理账户的所有者*可以*使用 Security Hub CSPM API 的任何 `Get` 或 `Describe` 操作。
如果您使用本地配置或手动账户管理,而不是中心配置,则可以使用这些特定于账户的操作。
自行管理账户也可以使用 `*Invitations` 和 `*Members` 操作。但是,我们不建议自行管理账户使用这些操作。如果成员账户的成员与委派管理员属于不同的组织,则策略关联可能会失败。
**组织部门(OU)**
在 and S AWS Organizations ecurity Hub CSPM 中,一个可容纳一群人的容器。 AWS 账户组织单位 (OU) 也可以包含其他组织 OUs,从而使您能够创建类似于倒置树的层次结构,父组织单位位于顶部,其分支向下延伸,结尾是树叶的帐户。 OUs 一个 OU 有且仅有一个父级,账户可能是且仅是一个 OU 的成员。
你可以在 AWS Organizations 或 OUs 中进行管理 AWS Control Tower。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[管理组织单元](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) 或《AWS Control Tower 用户指南》**中的[使用 AWS Control Tower管理组织和账户](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html)。
授权的管理员可以将配置策略与特定账户或 OUs根账户相关联,以涵盖组织 OUs 中的所有账户。
**集中管理**
只有委派管理员才能使用配置策略跨区域配置的目标。
委派管理员账户指定是否集中管理目标。委派管理员还可以将目标的状态从集中管理更改为自行管理,或者从自行管理更改为集中管理。
**自行管理**
管理自己的 Security Hub CSPM 设置的目标。自行管理目标使用特定于账户的操作在每个区域中为自己单独配置 Security Hub CSPM。这与集中管理目标形成鲜明对比,后者只能由委派管理员通过配置策略跨区域进行配置。
委派管理员账户指定目标是否为自行管理目标。委派管理员可以对目标应用自行管理行为。或者,账户或 OU 可以继承父代的自行管理行为。
委派管理员账户本身可以是自行管理账户。委派管理员账户可以将目标的状态从自行管理更改为集中管理,或者反过来。
**配置策略关联**
配置策略与账户、组织单元(OU)或根之间的链接。当存在策略关联时,账户、OU 或根将使用配置策略定义的设置。在以下任一情况下都存在关联:
+ 当委派管理员直接将配置策略应用于账户、OU 或根时
+ 当账户或 OU 从父 OU 或根继承配置策略时
在应用或继承不同的配置之前,关联一直存在。
**应用的配置策略**
一种配置策略关联,在这种关联中,委派的管理员将配置策略直接应用于目标账户或根账户。 OUs目标按照配置策略定义的方式进行配置,只有委派管理员才能更改其配置。如果应用于 root 用户,则该配置策略会影响组织 OUs 中所有不通过应用程序或从最亲近的父级继承使用不同配置的账户和组织。
委派的管理员还可以将自我管理的配置应用于特定账户或根账户。 OUs
**继承的配置策略**
一种配置策略关联,在这种关联中,账户或 OU 采用最近的父 OU 或根的配置。如果配置策略未直接应用于账户或 OU,则它会继承最近的父级的配置。策略的所有元素都是继承的。换句话说,账户或 OU 不能选择仅继承策略中自己选择的一部分内容。如果最近的父级是自行管理的,则子账户或 OU 将继承父级的自行管理行为。
继承不能覆盖已应用的配置。也就是说,如果将配置策略或自行管理配置直接应用于账户或 OU,则它将使用该配置,并且不会继承父级的配置。
**根**
在 AWS Organizations 和 Security Hub CSPM 中,组织中的顶级父节点。如果授权的管理员将配置策略应用于 root,则该策略将与组织 OUs 中的所有账户相关联,除非这些账户通过应用程序或继承使用不同的策略,或者被指定为自我管理。如果管理员将 root 指定为自我管理,则组织 OUs 中的所有账户和账户都是自我管理的,除非他们通过应用程序或继承使用配置策略。如果根是自行管理的,并且当前不存在任何配置策略,则组织中的所有新账户都将保留其当前设置。
加入组织的新账户在被分配到特定 OU 之前一直处于根之下。如果未将新账户分配给 OU,则该账户将继承根配置,除非委派管理员将其指定为自行管理账户。
# 在 Security Hub CSPM 中启用中心配置
委派的 Sec AWS urity Hub CSPM 管理员帐户可以使用中央配置为多个账户和组织单位 () 配置 Security Hub CSPM、标准和控制。OUs AWS 区域
有关中心配置的好处及其工作原理的背景信息,请参阅[了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。
本节介绍中心配置的先决条件以及如何开始使用。
## 中心配置的先决条件
在开始使用中央配置之前,必须将 Security Hub CSPM 与主区域集成, AWS Organizations 并指定主区域。如果您使用 Security Hub CSPM 控制台,则这些先决条件包含在中心配置的选择加入工作流中。
### 与 Organizations 集成
您必须集成 Security Hub CSPM 和 Organizations 才能使用中心配置。
要集成这些服务,首先要在 Organizations 中创建一个组织。在 Organizations 管理账户中,指定一个 Security Hub CSPM 委派管理员账户。有关说明,请参阅[将 Security Hub CSPM 与 AWS Organizations](designate-orgs-admin-account.md)。
确保您在**预期主区域**指定您的委派管理员。当您开始使用中心配置时,还会在所有关联区域中自动设置相同的委派管理员。组织管理账户*不能*设置为委派管理员账户。
**重要**
当你使用集中配置时,你无法使用 Security Hub CSPM 控制台或 Security Hub CSPM APIs 来更改或删除委派的管理员帐户。如果 Organizations 管理帐户使用 AWS Organizations APIs 更改或删除 Security Hub CSPM 授权的管理员,则 Security Hub CSPM 会自动停止中央配置。您的配置策略也将被取消关联和删除。成员账户保留其在更改或删除委派管理员之前的配置。
### 指定主区域
您必须指定主区域才能使用中心配置。主区域是委派管理员从中配置组织的区域。
**注意**
主区域不能是 AWS 已指定为可选区域的区域。默认情况下,选择加入区域处于禁用状态。有关选择加入区域的列表,请参阅《AWS 账户管理参考指南》**中的[启用和禁用区域之前的注意事项](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)。
或者,您可以指定一个或多个可从主区域进行配置的关联区域。
委派管理员只能从主区域创建和管理配置策略。配置策略在主区域和所有关联区域生效。您无法创建仅适用于某些区域而不适用于其他区域的配置策略。唯一的例外是涉及全球资源的控制。如果您使用中心配置,Security Hub CSPM 会自动禁用涉及除主区域之外的所有区域中全局资源的控件。有关更多信息,请参阅 [使用全局资源的控件](controls-to-disable.md#controls-to-disable-global-resources)。
主区域也是您的 Security Hub CSPM 聚合区域,用于接收来自关联区域的调查发现、见解和其他数据。
如果您已经为跨区域聚合设置了聚合区域,那么这就是中心配置的默认主区域。在开始使用中心配置之前,您可以通过删除当前的调查发现聚合器并在所需的主区域中创建一个新的聚合器来更改主区域。调查发现聚合器是一种 Security Hub CSPM 资源,用于指定主区域和关联区域。
要指定主区域,请参阅[设置聚合区域的步骤](finding-aggregation-enable.md)。如果您已经有主区域,则可以调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html) API 来查看有关它的详细信息,包括当前与其关联的区域。
## 启用中心配置的说明
选择您的首选方法,然后按照步骤为组织启用中心配置。
------
#### [ Security Hub CSPM console ]
**启用中心配置(控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择**设置**和**配置**。然后,选择**启用中心配置**。
如果要加入 Security Hub CSPM,请选择**前往 Security Hub CSPM**。
1. 在**指定委派管理员**页面上,选择您的委派管理员账户或输入其账户 ID。如果适用,我们建议选择您为其他 AWS 安全与合规服务设置的相同委派管理员。选择**设置委派管理员**。
1. 在**集中组织**页面的**区域**部分,选择您的主区域。您必须登录到主区域才能继续。如果您已经为跨区域聚合设置了聚合区域,则该聚合区域将显示为主区域。要更改主区域,请选择**编辑区域设置**。然后,您可以选择首选的主区域并返回到此工作流程。
1. 至少选择一个区域以链接到主区域。或者选择是否要自动将未来受支持的区域链接到主区域。您在此处选择的区域可由委派管理员从主区域进行配置。配置策略将在主区域和所有关联区域生效。
1. 选择**确认并继续**。
1. 现在可以使用中心配置了。继续按照控制台提示创建您的第一个配置策略。如果您尚未准备好创建配置策略,请选择**我还没准备好配置**。您可以稍后通过在导航窗格中选择**设置**和**配置**来创建策略。有关创建配置策略的说明,请参阅[创建和关联配置策略](create-associate-policy.md)。
------
#### [ Security Hub CSPM API ]
**启用中心配置(API)**
1. 使用委派管理员账户的凭证,从主区域调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API。
1. 将 `AutoEnable` 字段设置为 `false`。
1. 将 `OrganizationConfiguration` 对象中的 `ConfigurationType` 字段设置为 `CENTRAL`。此操作会产生以下影响:
+ 在所有关联区域中将调用账户指定为 Security Hub CSPM 委派管理员。
+ 在所有关联区域的委派管理员账户中启用 Security Hub CSPM。
+ 将调用账户指定为使用 Security Hub CSPM 且属于该组织的新账户和现有账户的 Security Hub CSPM 委派管理员。在主区域和所有关联区域均如此。只有当新组织账户与启用了 Security Hub CSPM 的配置策略关联时,才会将调用账户设置为该新账户的委派管理员。只有当现有组织账户已启用 Security Hub CSPM 时,才会将调用账户设置为该现有账户的委派管理员。
+ 在所有关联区域中将 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable) 设置为 `false`,并在主区域和所有关联区域中将 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards) 设置为 `NONE`。如果您使用中心配置,则这些参数在主区域和关联区域中无关,但您可以通过使用配置策略在组织账户中自动启用 Security Hub CSPM 和默认安全标准。
1. 现在可以使用中心配置了。委派管理员可以通过创建配置策略来在您的组织中配置 Security Hub CSPM。有关创建配置策略的说明,请参阅[创建和关联配置策略](create-associate-policy.md)。
**API 请求示例**:
```
{
"AutoEnable": false,
"OrganizationConfiguration": {
"ConfigurationType": "CENTRAL"
}
}
```
------
#### [ AWS CLI ]
**启用中心配置(AWS CLI)**
1. 使用委派管理员账户的凭证,从主区域运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) 命令。
1. 包含 `no-auto-enable` 参数。
1. 将 `organization-configuration` 对象中的 `ConfigurationType` 字段设置为 `CENTRAL`。此操作会产生以下影响:
+ 在所有关联区域中将调用账户指定为 Security Hub CSPM 委派管理员。
+ 在所有关联区域的委派管理员账户中启用 Security Hub CSPM。
+ 将调用账户指定为使用 Security Hub CSPM 且属于该组织的新账户和现有账户的 Security Hub CSPM 委派管理员。在主区域和所有关联区域均如此。只有当新组织账户与启用了 Security Hub 的配置策略关联时,才会将调用账户设置为该新账户的委派管理员。只有当现有组织账户已启用 Security Hub CSPM 时,才会将调用账户设置为该现有账户的委派管理员。
+ 在所有关联区域中将自动启用选项设置为 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options),并在主区域和所有关联区域中将 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options) 设置为 `NONE`。如果您使用中心配置,则这些参数在主区域和关联区域中无关,但您可以通过使用配置策略在组织账户中自动启用 Security Hub CSPM 和默认安全标准。
1. 现在可以使用中心配置了。委派管理员可以通过创建配置策略来在您的组织中配置 Security Hub CSPM。有关创建配置策略的说明,请参阅[创建和关联配置策略](create-associate-policy.md)。
**命令示例:**
```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```
------
# 集中管理目标和自行管理目标
*启用中央配置后,委派的 Sec AWS urity Hub CSPM 管理员可以将每个组织帐户、组织单位 (OU) 和根目录指定为*集中管理或自我管理*。*目标的管理类型决定了如何指定其 Security Hub CSPM 设置。
有关中心配置的好处及其工作原理的背景信息,请参阅[了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。
本节说明了集中管理和自行管理的指定之间的区别,以及如何选择账户、OU 或根的管理类型。
**自行管理**
自我管理账户的所有者、OU 或 root 用户必须在每个 AWS 区域账户中分别配置其设置。委派管理员无法为自行管理目标创建配置策略。
**集中管理**
只有授权的 Security Hub CSPM 管理员才能为集中管理的账户配置设置 OUs,或者为主区域和关联区域的根账户配置设置。配置策略可以与集中管理的账户相关联,以及 OUs。
委派管理员可以在自行管理和集中管理之间切换目标的状态。默认情况下,当您通过 Security Hub CSPM API 启动中心配置时,所有账户和 OU 都是自行管理的。在控制台中,管理类型取决于您的第一个配置策略。您与 OUs 第一份保单关联的账户将进行集中管理。默认情况下,其他账户和账户 OUs 是自行管理的。
如果您将配置策略与以前自行管理的账户相关联,则策略设置将覆盖自行管理指定。账户将变成集中管理,并采用配置策略中反映的设置。
如果您将集中管理账户更改为自行管理账户,则之前通过配置策略应用于账户的设置将保持不变。例如,集中管理的账户最初可能与启用 Security Hub CSPM、启用 AWS 基础安全最佳实践和禁用 .1 的策略相关联。 CloudTrail如果您随后将账户指定为自行管理,则所有设置均保持不变。但是,账户所有者可以独立更改账户的设置。
子账号, OUs 可以继承自我管理的家长的自我管理行为,就像子女账户一样, OUs 可以继承集中管理的家长的配置策略。有关更多信息,请参阅 [通过应用和继承进行策略关联](configuration-policies-overview.md#policy-association)。
自行管理账户或 OU 不能从父节点或根继承配置策略。例如,如果您希望组织 OUs 中的所有账户都从根目录继承配置策略,则必须将自我管理节点的管理类型更改为集中管理。
## 配置自行管理账户中的设置的选项
自行管理账户必须在每个区域单独配置自己的设置。
自行管理账户的所有者可以在每个区域调用以下 Security Hub CSPM API 操作,以配置其设置:
+ `EnableSecurityHub` 和 `DisableSecurityHub`,以启用或禁用 Security Hub CSPM 服务(如果自行管理账户具有 Security Hub CSPM 委派管理员,则该管理员必须先[解除关联账户](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html),然后账户所有者才能禁用 Security Hub CSPM)。
+ `BatchEnableStandards` 和 `BatchDisableStandards`,启用或禁用标准
+ `BatchUpdateStandardsControlAssociations` 或 `UpdateStandardsControl`,启用或禁用控件
自行管理账户也可以使用 `*Invitations` 和 `*Members` 操作。但是,我们不建议自行管理账户使用这些操作。如果成员账户的成员与委派管理员属于不同的组织,则策略关联可能会失败。
有关 Security Hub CSPM API 操作的说明,请参阅 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html)。
自行管理的账户也可以使用 Security Hub CSPM 控制台或在 AWS CLI 每个区域配置其设置。
自管理账户无法调用任何 APIs 与 Security Hub CSPM 配置策略和策略关联相关的账户。只有授权的管理员才能调用中央配置 APIs 并使用配置策略来配置集中管理的帐户。
## 选择目标的管理类型
选择您的首选方法,然后按照步骤在 Sec AWS urity Hub CSPM 中将账户或 OU 指定为集中管理或自行管理。
------
#### [ Security Hub CSPM console ]
**要选择账户和 OU 的管理类型**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。
1. 选择**配置**。
1. 在**组织**选项卡上,选择目标账户或 OU。选择**编辑**。
1. 在**定义配置**页面上,对于**管理类型**,如果您希望委派管理员配置目标账户或 OU,请选择**集中管理**。然后,如果要将现有配置策略与目标关联,请选择**应用特定策略**。如果希望目标继承最接近父级的配置,请选择**从我的组织继承**。如果希望账户或 OU 配置自己的设置,请选择**自行管理**。
1. 选择**下一步**。检查更改,然后选择**保存**。
------
#### [ Security Hub CSPM API ]
**要选择账户和 OU 的管理类型**
1. 从主区域的 Security Hub CSPM 委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API。
1. 对于 `ConfigurationPolicyIdentifier` 字段,如果希望账户或 OU 控制其自己的设置,请提供 `SELF_MANAGED_SECURITY_HUB`。如果希望委派管理员控制账户或 OU 的设置,请提供相关配置策略的 Amazon 资源名称(ARN)或 ID。
1. 在该`Target`字段中,提供要更改其管理类型的目标的 ID、OU ID 或根 ID。 AWS 账户 这会将自行管理行为或指定的配置策略与目标关联。目标的子账户可继承自行管理行为或配置策略。
**指定自行管理账户的 API 请求示例:**
```
{
"ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
"Target": {"AccountId": "123456789012"}
}
```
------
#### [ AWS CLI ]
**要选择账户和 OU 的管理类型**
1. 从主区域的 Security Hub CSPM 委派管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) 命令。
1. 对于 `configuration-policy-identifier` 字段,如果希望账户或 OU 控制其自己的设置,请提供 `SELF_MANAGED_SECURITY_HUB`。如果希望委派管理员控制账户或 OU 的设置,请提供相关配置策略的 Amazon 资源名称(ARN)或 ID。
1. 在该`target`字段中,提供要更改其管理类型的目标的 ID、OU ID 或根 ID。 AWS 账户 这会将自行管理行为或指定的配置策略与目标关联。目标的子账户可继承自行管理行为或配置策略。
**指定自行管理账户的命令示例:**
```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```
------
# Security Hub CSPM 中配置策略的工作原理
授权的 S AWS ecurity Hub CSPM 管理员可以创建配置策略来为组织配置 Security Hub CSPM、安全标准和安全控制。创建配置策略后,授权的管理员可以将其与特定账户、组织单位 (OUs) 或根相关联。然后,该策略在指定的账户或根账户中生效。 OUs
有关中心配置的好处及其工作原理的背景信息,请参阅[了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。
本节详细概述了配置策略。
## 策略注意事项
在 Security Hub CSPM 中创建配置策略之前,请注意以下事项。
+ **必须关联配置策略才能生效** — 创建配置策略后,可以将其与一个或多个账户、组织单位 (OUs) 或根相关联。配置策略可以与账户关联,也可以 OUs 通过直接应用程序关联,也可以通过从父 OU 继承来关联。
+ **一个账户或 OU 只能与一个配置策略相关联** – 为防止设置冲突,一个账户或 OU 在任何给定时间只能与一个配置策略相关联。或者,也可以对账户或 OU 进行自行管理。
+ **配置策略已完成** — 配置策略提供了完整的设置规范。例如,子账户不能接受一个策略中的某些控件的设置和另一个策略中其他控件的设置。当您将策略与子账户关联时,请确保该策略指定了您希望该子账户使用的所有设置。
+ **配置策略无法恢复 — 在将**配置策略与账户关联后,无法选择恢复配置策略或 OUs。例如,如果您将禁用 CloudWatch 控件的配置策略与特定账户关联,然后取消该策略的关联,则该账户中的 CloudWatch 控件将继续处于禁用状态。要再次启用 CloudWatch 控件,您可以将该账户与启用控件的新策略相关联。或者,您可以将帐户更改为自我管理并启用帐户中的每个 CloudWatch 控件。
+ **配置策略在您的主区域和所有关联区域生效** — 配置策略会影响主区域中的所有关联账户以及所有关联区域。您无法创建仅在其中某些区域生效而不在其他区域生效的配置策略。唯一的例外是[使用全球资源的控件](controls-to-disable.md#controls-to-disable-global-resources)。Security Hub CSPM 会自动禁用涉及除主区域之外的所有区域中全局资源的控件。
在 2019 年 3 月 20 日当天或之后 AWS 推出的区域被称为选择加入区域。必须先为账户启用这样的区域,然后配置策略才会在该区域生效。组织管理账户可以为成员账户启用选择加入区域。有关启用可选区域的说明,请参阅《[账户*管理参考指南》中的指定 AWS 区域 您的AWS 账户*可以使用哪个](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable)区域。
如果您的策略配置的控件在主区域或一个或多个关联区域中不可用,则 Security Hub CSPM 会跳过不可用区域中的控件配置,但会在控件可用的区域中应用该配置。您无法覆盖在主区域或任何关联区域中不可用的控件。
+ **配置策略即资源** — 作为资源,配置策略有 Amazon 资源名称(ARN)和通用唯一标识符(UUID)。ARN 使用以下格式:`arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID`。自行管理配置没有 ARN 或 UUID。自行管理配置的标识符为 `SELF_MANAGED_SECURITY_HUB`。
## 配置策略的类型
每个配置策略指定以下设置:
+ 启用或禁用 Security Hub CSPM。
+ 启用一项或多项[安全标准](standards-reference.md)。
+ 指明在已启用的标准中启用了哪些[安全控件](securityhub-controls-reference.md)。您可以通过提供应启用的特定控件列表来实现这一点,而 Security Hub CSPM 会禁用所有其他控件(包括新发布的控件)。或者,您可以提供应禁用的特定控件列表,Security Hub CSPM 将启用所有其他控件(包括新发布的控件)。
+ (可选)在已启用的标准中为选定的已启用控件[自定义参数](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html)。
中央配置策略不包括 AWS Config 录制器设置。为了让 Secur AWS Config ity Hub CSPM 生成控制结果,必须单独启用和开启所需资源的记录。有关更多信息,请参阅 [启用和配置前的注意事项 AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config)。
如果您使用中心配置,Security Hub CSPM 会自动禁用涉及除主区域之外的所有区域中全局资源的控件。您选择通过配置策略启用的其他控件已在所有提供这些控件的区域中启用。要将这些控件的结果限制在一个区域内,您可以更新 AWS Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。
如果涉及全局资源的已启用控件在主区域不受支持,则 Security Hub CSPM 会尝试在支持该控件的关联区域中启用该控件。使用中心配置,您无法覆盖在主区域或任何关联区域中不可用的控件。
有关涉及全球资源的控件列表,请参阅[使用全局资源的控件](controls-to-disable.md#controls-to-disable-global-resources)。
### 建议的配置策略
*首次在 Security Hub CSPM 控制台中*创建配置策略时,您可以选择 Security Hub CSPM 推荐的策略。
推荐的策略启用 Security Hub CSPM、 AWS 基础安全最佳实践 (FSBP) 标准以及所有现有和新的 FSBP 控件。接受参数的控件使用默认值。推荐的策略适用于 root(所有账户 OUs,包括新账户和现有账户)。为您的组织创建推荐的策略后,您可以通过委派管理员账户对其进行修改。例如,您可以启用其他标准或控件或禁用特定的 FSBP 控件。有关修改配置策略的说明,请参阅[更新配置策略](update-policy.md)。
### 自定义配置策略
委派管理员最多可以创建 20 个自定义配置策略,而不是推荐的策略。您可以将单个自定义策略与整个组织相关联,也可以将不同的自定义策略与不同的账户相关联,以及 OUs。对于自定义配置策略,您可以指定所需的设置。例如,您可以创建自定义策略,启用 FSBP、 Center for Internet Security(CIS) AWS 基金会基准 v1.4.0 以及这些标准中除了 Amazon Redshift 控件之外的所有控件。您在自定义配置策略中使用的粒度级别取决于整个组织的预期安全覆盖范围。
**注意**
您无法将禁用 Security Hub CSPM 的配置策略与委派管理员账户相关联。这样的策略可以与其他账户关联,但会跳过与委派管理员的关联。委派管理员账户保留其当前配置。
创建自定义配置策略后,您可以更新配置策略,切换到推荐的配置策略,从而反映推荐的配置。但是,在创建第一个策略后,您无法在 Security Hub CSPM 控制台中看到创建推荐配置策略的选项。
## 通过应用和继承进行策略关联
当你第一次选择使用中心配置时,你的组织没有任何关联关系,其行为方式与选择加入之前相同。然后,授权的管理员可以在配置策略或自我管理的行为和帐户(或根帐户)之间建立关联。 OUs可以通过*应用*或*继承*来建立关联。
通过委派管理员账户,您可以直接将配置策略应用于账户、OU 或根。或者,委派管理员可以对账户、OU 或根直接应用自行管理指定。
在没有直接应用的情况下,账户或 OU 会继承具有配置策略或自行管理行为的最近父级的设置。如果最近的父级与配置策略相关联,则子级将继承该策略,并且只能由来自主区域的委派管理员进行配置。如果最亲近的父母是自我管理的,则孩子将继承自我管理的行为,并且能够在每个行为中指定自己的设置。 AWS 区域
应用优先于继承。换句话说,继承不能覆盖委派管理员直接应用于账户或 OU 的配置策略或自行管理指定。
如果您对自行管理的账户直接应用配置策略,则该策略将覆盖自行管理指定。账户将变成集中管理,并采用配置策略中反映的设置。
我们建议对根直接应用配置策略。如果您对根应用策略,则加入组织的新账户将自动继承根策略,除非您将这些账户与其他策略关联或将其指定为自行管理。
在给定时间,只能通过应用或继承将配置策略与账户或 OU 关联。这旨在防止设置冲突。
下图说明了策略应用和继承在中心配置中的工作原理。
![\[应用和继承 Security Hub CSPM 配置策略\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)
在此示例中,以绿色突出显示的节点具有已应用于该节点的配置策略。以蓝色突出显示的节点不具有已应用于该节点的配置策略。以黄色突出显示的节点已被指定为自行管理。每个账户和 OU 都使用以下配置:
+ **OU:Root(绿色)**— 此 OU 使用已应用于它的配置策略。
+ **OU:Prod(蓝色)**— 此 OU 继承了 OU:Root 的配置策略。
+ **OU:Applications(绿色)**— 此 OU 使用已应用于它的配置策略。
+ **账户 1(绿色)**— 此账户使用已应用于它的配置策略。
+ **账户 2(蓝色)**:此账户继承了 OU:Applications 的配置策略。
+ **OU:Dev(黄色)**— 此 OU 是自行管理的。
+ **账户 3(绿色)**— 此账户使用已应用于它的配置策略。
+ **账户 4(蓝色)**— 此账户继承了 OU:Dev 的自行管理行为。
+ **OU:Test(蓝色)**— 此 OU 继承了 OU:Root 的配置策略。
+ **账户 5(蓝色)**— 此账户继承了 OU:Root 的配置策略,因为其直系父级 OU:Test 未与配置策略关联。
## 测试配置策略
为确保您了解配置策略的工作原理,我们建议您创建一个策略并将其与测试账户或 OU 关联。
**要测试配置策略**
1. 创建自定义配置策略,并验证 Security Hub CSPM 启用、标准和控件的指定设置是否正确。有关说明,请参阅[创建和关联配置策略](create-associate-policy.md)。
1. 将配置策略应用于没有任何子账号的测试账号或 OU 或 OUs。
1. 验证测试账户或 OU 在您的主区域和所有关联区域中是否按预期方式使用配置策略。您还可以验证组织 OUs 内的所有其他账户是否保持自我管理状态,并且可以在每个区域中更改自己的设置。
在单个账户或 OU 中测试配置策略后,您可以将其与其他账户关联和 OUs。
# 创建和关联配置策略
委派的 S AWS ecurity Hub CSPM 管理员帐户可以创建配置策略,指定如何在指定账户和组织单位中配置 Security Hub CSPM、标准和控制()。OUs只有在授权的管理员将配置策略与至少一个账户或组织单位 (OUs) 或 root 关联后,该配置策略才会生效。委派的管理员还可以将自我管理的配置与账户 OUs、或 root 关联起来。
如果您是首次创建配置策略,我们建议您先查看 [Security Hub CSPM 中配置策略的工作原理](configuration-policies-overview.md)。
选择您的首选访问方法,然后按照步骤创建和关联配置策略或自行管理配置。使用 Security Hub CSPM 控制台时,您可以将一个配置与多个账户关联或 OUs 同时关联。使用 Security Hub CSPM API 或时 AWS CLI,您只能在每个请求中将配置与一个账户或 OU 相关联。
**注意**
如果您使用中心配置,Security Hub CSPM 会自动禁用涉及除主区域之外的所有区域中全局资源的控件。您选择通过配置策略启用的其他控件已在所有提供这些控件的区域中启用。要将这些控件的结果限制在一个区域内,您可以更新 AWS Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。
如果涉及全局资源的已启用控件在主区域不受支持,则 Security Hub CSPM 会尝试在支持该控件的关联区域中启用该控件。使用中心配置,您无法覆盖在主区域或任何关联区域中不可用的控件。
有关涉及全球资源的控件列表,请参阅[使用全局资源的控件](controls-to-disable.md#controls-to-disable-global-resources)。
------
#### [ Security Hub CSPM console ]
**要创建和关联配置策略**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。
1. 在导航窗格中,选择**配置**和**策略**选项卡。然后选择**创建策略**。
1. 如果这是您第一次创建配置策略,则在**配置组织**页面上,可以在**配置类型**下看到三个选项。如果您已经创建了至少一个配置策略,则只能看到**自定义策略**选项。
+ 选择 “在**整个组织中使用 AWS 推荐的 Security Hub CSPM 配置**” 以使用我们推荐的策略。推荐的策略在所有组织帐户中启用 Security Hub CSPM,启用 AWS 基础安全最佳实践 (FSBP) 标准,并启用所有新的和现有的 FSBP 控件。控件使用默认参数值。
+ 选择**我还没准备好配置**,以稍后创建配置策略。
+ 选择**自定义策略**,以创建自定义配置策略。指定是启用还是禁用 Security Hub CSPM、要启用哪些标准以及要在这些标准中启用哪些控件。(可选)为一个或多个支持自定义参数的已启用控件指定[自定义参数值](custom-control-parameters.md)。
1. 在 “**帐户**” 部分,选择要将配置策略应用于哪些目标账户或根账户。 OUs
+ 如果要将配置策略应用于根,请选择**所有账户**。这包括组织 OUs 中所有未应用或继承其他政策的账户。
+ 如果要将配置策略应用于**特定账户**,请选择特定账户,或者 OUs。输入账户 IDs,或者 OUs 从组织结构中选择账户。创建策略时,您最多可以将策略应用于 15 个目标(账户或根)。 OUs要指定更多目标,请在创建策略后进行编辑,然后将其应用于其他目标。
+ 选择**仅限委派管理员**,将配置策略应用于当前的委派管理员账户。
1. 选择**下一步**。
1. 在**查看和应用**页面上,查看您的配置策略详细信息。然后选择**创建并应用策略**。在您的主区域和关联区域中,此操作将覆盖与此配置策略关联的账户的现有配置设置。账户可以通过应用与配置策略相关联,也可以从父节点继承。子帐户和应用 OUs 的目标帐户将自动继承此配置策略,除非它们被特别排除、自行管理或使用不同的配置策略。
------
#### [ Security Hub CSPM API ]
**要创建和关联配置策略**
1. 从主区域的 Security Hub CSPM 委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) API。
1. 对于 `Name`,输入配置策略的唯一名称。(可选)对于 `Description`,为配置策略提供描述。
1. 在 `ServiceEnabled` 字段中,指定要在此配置策略中启用还是禁用 Security Hub CSPM。
1. 在 `EnabledStandardIdentifiers` 字段中,指定要在此配置策略中启用哪些 Security Hub CSPM 标准。
1. 对于 `SecurityControlsConfiguration` 对象,请在此配置策略中指定要启用或禁用的控件。选择 `EnabledSecurityControlIdentifiers` 意味着指定的控件已启用。已启用标准中的其他控件(包括新发布的控件)将被禁用。选择 `DisabledSecurityControlIdentifiers` 意味着指定的控件被禁用。属于已启用标准的其他控件(包括新发布的控件)将被启用。
1. 或者,在 `SecurityControlCustomParameters` 字段中,指定要为其自定义参数的已启用控件。为 `ValueType` 字段提供 `CUSTOM`,为 `Value` 字段提供自定义参数值。该值必须是正确的数据类型,并且必须在 Security Hub CSPM 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息,请参阅 [了解 Security Hub CSPM 中的控件参数](custom-control-parameters.md)。
1. 要将您的配置策略应用于账户或 OUs,请从所在区域的 Security Hub CSPM 委托管理员账户中调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API。
1. 请为 `ConfigurationPolicyIdentifier` 字段提供策略的 Amazon 资源名称(ARN)或用唯一标识符(UUID)。此 ARN 和 UUID 由 `CreateConfigurationPolicy` API 返回。对于自行管理配置,`ConfigurationPolicyIdentifier` 字段等于 `SELF_MANAGED_SECURITY_HUB`。
1. 在 `Target` 字段中,提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每个 API 请求中提供一个目标。子帐户和选定目标 OUs 的子帐户将自动继承此配置策略,除非它们是自行管理的或使用不同的配置策略。
**用于创建配置策略的 API 请求示例:**
```
{
"Name": "SampleConfigurationPolicy",
"Description": "Configuration policy for production accounts",
"ConfigurationPolicy": {
"SecurityHub": {
"ServiceEnabled": true,
"EnabledStandardIdentifiers": [
"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
"arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
],
"SecurityControlsConfiguration": {
"DisabledSecurityControlIdentifiers": [
"CloudTrail.2"
],
"SecurityControlCustomParameters": [
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 15
}
}
}
}
]
}
}
}
}
```
**用于关联配置策略的 API 请求示例:**
```
{
"ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```
------
#### [ AWS CLI ]
**要创建和关联配置策略**
1. 从主区域的 Security Hub CSPM 委派管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html) 命令。
1. 对于 `name`,输入配置策略的唯一名称。(可选)对于 `description`,为配置策略提供描述。
1. 在 `ServiceEnabled` 字段中,指定要在此配置策略中启用还是禁用 Security Hub CSPM。
1. 在 `EnabledStandardIdentifiers` 字段中,指定要在此配置策略中启用哪些 Security Hub CSPM 标准。
1. 在 `SecurityControlsConfiguration` 字段中,请在此配置策略中指定要启用或禁用的控件。选择 `EnabledSecurityControlIdentifiers` 意味着指定的控件已启用。已启用标准中的其他控件(包括新发布的控件)将被禁用。选择 `DisabledSecurityControlIdentifiers` 意味着指定的控件被禁用。适用于您已启用标准的其他控件(包括新发布的控件)已启用。
1. 或者,在 `SecurityControlCustomParameters` 字段中,指定要为其自定义参数的已启用控件。为 `ValueType` 字段提供 `CUSTOM`,为 `Value` 字段提供自定义参数值。该值必须是正确的数据类型,并且必须在 Security Hub CSPM 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息,请参阅 [了解 Security Hub CSPM 中的控件参数](custom-control-parameters.md)。
1. 要将您的配置策略应用于账户或 OUs,请从所在区域的 Security Hub CSPM 委托管理员账户运行[https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)命令。
1. 请为 `configuration-policy-identifier` 字段提供配置策略的 Amazon 资源名称(ARN)或 ID。此 ARN 和 ID 由 `create-configuration-policy` 命令返回。
1. 在 `target` 字段中,提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每次运行命令时提供一个目标。所选目标的子账户将自动继承此配置策略,除非它们是自行管理的或使用不同的配置策略。
**用于创建配置策略的命令示例:**
```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```
**用于关联配置策略的命令示例:**
```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```
------
`StartConfigurationPolicyAssociation` API 返回一个名为 `AssociationStatus` 的字段。此字段会告诉您策略关联是待处理还是处于成功或失败状态。状态从 `PENDING` 变为 `SUCCESS` 或 `FAILURE` 可能需要长达 24 小时的时间。有关关联状态的更多信息,请参阅[查看配置策略的关联状态](view-policy.md#configuration-association-status)。
# 查看配置策略的状态和详细信息
授权的 S AWS ecurity Hub CSPM 管理员可以查看组织的配置策略及其详细信息。这包括策略与哪些账户和组织单位 (OUs) 相关联。
有关中心配置的好处及其工作原理的背景信息,请参阅[了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。
选择首选方法,然后按照步骤查看配置策略。
------
#### [ Security Hub CSPM console ]
**查看配置策略(控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。
1. 在导航窗格中,选择**设置**和**配置**。
1. 选择**策略**选项卡以查看配置策略概述。
1. 选择一个配置策略,然后选择 **View det** ails 以查看有关该策略的其他详细信息,包括与哪些账户及其 OUs 关联的账户。
------
#### [ Security Hub CSPM API ]
要查看所有配置策略的摘要列表,请使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html) 操作。如果您使用 AWS CLI,请运行该[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)命令。Security Hub CSPM 委派管理员账户应在主区域调用该操作。
```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```
要查看有关特定配置策略的详细信息,请使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) 操作。如果您使用 AWS CLI,请运行[https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html)。委派管理员应在主区域调用此操作。提供要查看其详细信息的配置策略的 Amazon 资源名称(ARN)或 ID。
```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
要查看所有配置策略及其账户关联情况的摘要列表,请使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html) 操作。如果您使用 AWS CLI,请运行该[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)命令。委派管理员应在主区域调用此操作。或者,您可以提供分页参数,或者按特定策略 ID、关联类型或关联状态筛选结果。
```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```
要查看特定账户的关联情况,请使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html) 操作。如果您使用 AWS CLI,请运行该[https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)命令。委派管理员应在主区域调用此操作。对于 `target`,请提供账户、OU ID 或根 ID。
```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```
------
## 查看配置策略的关联状态
以下中心配置 API 操作将返回一个名为 `AssociationStatus` 的字段:
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`
当基础配置为配置策略,并且是自行管理行为时,都将返回此字段。
`AssociationStatus` 的值指明特定账户的策略关联是处于待定状态还是成功或失败状态。状态从 `PENDING` 变为 `SUCCESS` 或 `FAILED` 可能需要长达 24 小时的时间。状态 `SUCCESS` 表示配置策略中指定的所有设置都与账户相关联。状态 `FAILED` 表示配置策略中指定的一个或多个设置未能与账户关联。尽管处于 `FAILED` 状态,但可以根据策略对账户进行部分配置。例如,您可以尝试将账户与启用 Security Hub CSPM、启用 AWS 基础安全最佳实践和禁用 .1 的配置策略相关联。 CloudTrail最初的两个设置可能会成功,但是 CloudTrail .1 设置可能会失败。在此示例中,即使某些设置配置正确,关联状态仍为 `FAILED`。
父 OU 或根的关联状态取决于其子级的状态。如果所有子级的关联状态均为 `SUCCESS`,则父级的关联状态为 `SUCCESS`。如果一个或多个子级的关联状态均为 `FAILED`,则父级的关联状态为 `FAILED`。
值 `AssociationStatus` 取决于所有相关区域中该策略的关联状态。如果关联在主区域和所有关联区域成功,则 `AssociationStatus` 的值为 `SUCCESS`。如果关联在一个或多个区域失败,则 `AssociationStatus` 的值为 `FAILED`。
以下行为也会影响 `AssociationStatus` 的值:
+ 如果目标是父 OU 或根,则只有当所有子级的状态为 `SUCCESS` 或 `FAILED` 时,`AssociationStatus` 才具有 `SUCCESS` 或 `FAILED` 状态。在首次将父级与配置关联后,如果子账户或 OU 的关联状态变更(例如,添加或删除了关联区域时),则除非再次调用 `StartConfigurationPolicyAssociation` API,否则变更不会使父级的关联状态更新。
+ 如果目标是账户,则只有当主区域和所有关联区域的关联结果为 `SUCCESS` 或 `FAILED` 时,`AssociationStatus` 才具有 `SUCCESS` 或 `FAILED` 状态。在首次将目标账户与配置关联后,如果目标账户的关联状态变更(例如,添加或删除了关联区域时),则配置的关联状态也会随之更新。但除非再次调用 `StartConfigurationPolicyAssociation` API,否则变更不会使父级的关联状态更新。
如果您添加新的关联区域,Security Hub CSPM 会复制新区域中处于 `PENDING`、`SUCCESS` 或 `FAILED` 状态的现有关联。
即使关联状态为 `SUCCESS`,作为策略一部分的标准的启用状态也可能转变为未完成状态。在这种情况下,Security Hub CSPM 无法为标准的控件生成调查发现。有关更多信息,请参阅 [检查标准的状态](enable-standards.md#standard-subscription-status)。
## 关联失败问题排查
在 S AWS ecurity Hub CSPM 中,配置策略关联可能由于以下常见原因而失败。
+ **组织管理账户不是成员** — 如果要将配置策略与组织管理账户关联,则该账户必须已启用 Sec AWS urity Hub CSPM。这将使管理账户成为组织的成员账户。
+ **AWS Config 未启用或未正确配置**-要在配置策略中启用标准, AWS Config 必须启用并配置为记录相关资源。
+ **必须从委托管理员账户进行关**联 — 只有在登录委派的 Security Hub CSPM 管理员账户 OUs 时,您才能将策略与目标账户相关联。
+ **必须从本地区进行关联** — 您只能将保单与目标账户相关联,也只能在您登录所在地区 OUs 时进行关联。
+ **未启用选择加入区域**:如果关联区域是委派管理员尚未启用的选择加入区域,则该区域中的成员账户或 OU 的策略关联将会失败。您可以在从委派管理员账户启用区域后重试。
+ **成员账户已暂停**:如果尝试将策略与暂停的成员账户关联,则策略关联将失败。
# 更新配置策略
创建配置策略后,委托的 S AWS ecurity Hub CSPM 管理员帐户可以更新策略详细信息和策略关联。更新策略详细信息后,与配置策略关联的账户会自动开始使用更新后的策略。
有关中心配置的好处及其工作原理的背景信息,请参阅[了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。
委派管理员可以更新以下策略设置:
+ 启用或禁用 Security Hub CSPM。
+ 启用一项或多项[安全标准](standards-reference.md)。
+ 指明在已启用的标准中启用了哪些[安全控件](securityhub-controls-reference.md)。您可以通过提供应启用的特定控件列表来实现这一点,而 Security Hub CSPM 会禁用所有其他控件(包括新发布的控件)。或者,您可以提供应禁用的特定控件列表,Security Hub CSPM 将启用所有其他控件(包括新发布的控件)。
+ (可选)在已启用的标准中为选定的已启用控件[自定义参数](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html)。
选择首选方法,然后按照步骤更新配置策略。
**注意**
如果您使用中心配置,Security Hub CSPM 会自动禁用涉及除主区域之外的所有区域中全局资源的控件。您选择通过配置策略启用的其他控件已在所有提供这些控件的区域中启用。要将这些控件的结果限制在一个区域内,您可以更新 AWS Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。
如果涉及全局资源的已启用控件在主区域不受支持,则 Security Hub CSPM 会尝试在支持该控件的关联区域中启用该控件。使用中心配置,您无法覆盖在主区域或任何关联区域中不可用的控件。
有关涉及全球资源的控件列表,请参阅[使用全局资源的控件](controls-to-disable.md#controls-to-disable-global-resources)。
------
#### [ Console ]
**要更新配置策略**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。
1. 在导航窗格中,选择**设置**和**配置**。
1. 选择**策略**选项卡。
1. 选择要编辑的配置策略,然后选择**编辑**。如果需要,请编辑策略设置。如果要保持策略设置不变,请保留此部分。
1. 选择**下一步**。如果需要,请编辑策略关联。如果要保持策略关联不变,请保留此部分。更新策略时,您可以将策略与最多 15 个目标(账户或 root)关联或取消关联。 OUs
1. 选择**下一步**。
1. 检查更改,然后选择**保存并应用**。在您的主区域和关联区域中,此操作将覆盖与此配置策略关联的账户的现有配置设置。账户可以通过应用与配置策略相关联,也可以从父节点继承。
------
#### [ API ]
**要更新配置策略**
1. 要更新配置策略中的设置,请从主区域的 Security Hub CSPM 委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API。
1. 提供要更新的配置策略的 Amazon 资源名称(ARN)或 ID。
1. 为 `ConfigurationPolicy` 下方的字段提供更新后的值。(可选)您还可以提供更新原因。
1. 要为此配置策略添加新的关联,请从主区域的 Security Hub CSPM 委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API。要删除一个或多个当前关联,请从主区域的 Security Hub CSPM 委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) API。
1. 对于 `ConfigurationPolicyIdentifier` 字段,提供要更新其关联的配置策略的 ARN 或 ID。
1. 在该`Target`字段中,提供您想要关联或取消关联的账户 OUs、或根 ID。此操作将覆盖指定 OUs 或账户之前的策略关联。
**注意**
调用 `UpdateConfigurationPolicy` API 时,Security Hub CSPM 会对 `EnabledStandardIdentifiers`、`EnabledSecurityControlIdentifiers`、`DisabledSecurityControlIdentifiers` 和 `SecurityControlCustomParameters` 字段执行完整列表替换。每次调用此 API 时,请提供要启用的标准的完整列表,以及要为其启用或禁用和自定义参数的控件的完整列表。
**更新配置策略的 API 请求示例:**
```
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Description": "Updated configuration policy",
"UpdatedReason": "Disabling CloudWatch.1",
"ConfigurationPolicy": {
"SecurityHub": {
"ServiceEnabled": true,
"EnabledStandardIdentifiers": [
"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
"arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
],
"SecurityControlsConfiguration": {
"DisabledSecurityControlIdentifiers": [
"CloudTrail.2",
"CloudWatch.1"
],
"SecurityControlCustomParameters": [
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 15
}
}
}
}
]
}
}
}
}
```
------
#### [ AWS CLI ]
**要更新配置策略**
1. 要更新配置策略中的设置,请从主区域的 Security Hub CSPM 委派管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html) 命令。
1. 提供要更新的配置策略的 Amazon 资源名称(ARN)或 ID。
1. 为 `configuration-policy` 下方的字段提供更新后的值。(可选)您还可以提供更新原因。
1. 要为此配置策略添加新的关联,请从主区域的 Security Hub CSPM 委派管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) 命令。要移除一个或多个当前关联,请从主区域的 Security Hub CSPM 委派管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) 命令。
1. 对于 `configuration-policy-identifier` 字段,提供要更新其关联的配置策略的 ARN 或 ID。
1. 在该`target`字段中,提供您想要关联或取消关联的账户 OUs、或根 ID。此操作将覆盖指定 OUs 或账户之前的策略关联。
**注意**
运行 `update-configuration-policy` 命令时,Security Hub CSPM 会对 `EnabledStandardIdentifiers`、`EnabledSecurityControlIdentifiers`、`DisabledSecurityControlIdentifiers` 和 `SecurityControlCustomParameters` 字段执行完整列表替换。每次运行此命令时,请提供要启用的标准的完整列表,以及要为其启用或禁用和自定义参数的控件的完整列表。
**更新配置策略的命令示例:**
```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```
------
`StartConfigurationPolicyAssociation` API 返回一个名为 `AssociationStatus` 的字段。此字段会告诉您策略关联是待处理还是处于成功或失败状态。状态从 `PENDING` 变为 `SUCCESS` 或 `FAILURE` 可能需要长达 24 小时的时间。有关关联状态的更多信息,请参阅[查看配置策略的关联状态](view-policy.md#configuration-association-status)。
# 删除配置策略
创建配置策略后,委托的 S AWS ecurity Hub CSPM 管理员可以将其删除。或者,授权的管理员可以保留该策略,但将其与特定账户或组织单位 (OUs) 或根解除关联。有关取消关联策略的说明,请参阅[取消配置与其目标的关联](disassociate-policy.md)。
有关中心配置的好处及其工作原理的背景信息,请参阅[了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。
本节介绍如何删除配置策略。
删除配置策略后,该策略将不再存在于组织中。目标账户 OUs和组织根用户不能再使用配置策略。与已删除的配置策略关联的目标将继承最接近父级的配置策略,或者如果最接近父级是自行管理的,则会变为自行管理。如果希望目标使用其他配置,可以将该目标与新的配置策略相关联。有关更多信息,请参阅 [创建和关联配置策略](create-associate-policy.md)。
我们建议至少创建一个配置策略,并将其与组织关联,以提供足够的安全覆盖。
在删除配置策略之前,必须取消该策略与当前应用该策略的任何账户或根账户的关联。 OUs
选择首选方法,然后按照步骤删除配置策略。
------
#### [ Console ]
**要删除配置策略**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。
1. 在导航窗格中,选择**设置**和**配置**。
1. 选择**策略**选项卡。选择要删除的配置策略,然后选择**删除**。如果配置策略仍与任何账户相关联或 OUs,则系统会提示您先取消策略与这些目标的关联,然后才能将其删除。
1. 查看确认消息。输入 **confirm**,然后选择**删除**。
------
#### [ API ]
**要删除配置策略**
从主区域的 Security Hub CSPM 委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html) API。
提供要删除的配置策略的 Amazon 资源名称(ARN)或 ID。如果您收到`ConflictException`错误,则配置策略仍适用于账户或 OUs 您的组织。要解决此错误,请取消配置策略与这些账户的关联,或者 OUs 在尝试删除配置策略之前。
**删除配置策略的 API 请求示例:**
```
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```
------
#### [ AWS CLI ]
**要删除配置策略**
从主区域的 Security Hub CSPM 委派管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html) 命令。
提供要删除的配置策略的 Amazon 资源名称(ARN)或 ID。如果您收到`ConflictException`错误,则配置策略仍适用于账户或 OUs 您的组织。要解决此错误,请取消配置策略与这些账户的关联,或者 OUs 在尝试删除配置策略之前。
```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
# 取消配置与其目标的关联
通过委派的 S AWS ecurity Hub CSPM 管理员帐户,您可以取消配置策略或自管理配置与账户、组织单位或根的关联。取消关联会保留策略以备将来使用,但会删除特定账户或 root 的现有关联。您只能取消关联直接应用的配置,而不能取消继承的配置。 OUs要更改继承的配置,可以将配置策略或自行管理行为应用于受影响的账户或 OU。您还可以将新的配置策略(包括所需的修改)应用于最接近的父级。
取消关联*不会*删除配置策略。该策略保留在您的账户中,因此您可以将其与组织中的其他目标关联。有关删除配置策略的说明,请参阅[删除配置策略](delete-policy.md)。解除关联完成后,受影响的目标将继承最接近的父级的配置策略或自行管理行为。如果没有可继承的配置,目标会保留解除关联之前的设置,但变为自行管理。
选择首选方法,然后按照步骤解除账户、OU 或根与其当前配置的关联。
------
#### [ Console ]
**要解除账户或 OU 与其当前配置的关联**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。
1. 在导航窗格中,选择**设置**和**配置**。
1. 在**组织**选项卡上,选择要解除与其当前配置关联的账户、OU 或根。选择**编辑**。
1. 在**定义配置**页面上,对于**管理**,如果您希望委派管理员能够将策略直接应用于目标,请选择**应用的策略**。如果希望目标继承最接近父级的配置,请选择**继承**。在这两种情况下,委派管理员都将控制目标的设置。如果希望账户或 OU 控制自己的设置,请选择**自行管理**。
1. 查看更改后,选择**下一步**和**应用**。如果任何账户的现有配置或范围内的配置与您当前 OUs 的选择相冲突,则此操作将覆盖这些配置。
------
#### [ API ]
**要解除账户或 OU 与其当前配置的关联**
1. 从主区域的 Security Hub CSPM 委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) API。
1. 对于 `ConfigurationPolicyIdentifier`,提供要解除关联的配置策略的 Amazon 资源名称(ARN)或 ID。对于该字段,提供 `SELF_MANAGED_SECURITY_HUB` 以解除自行管理行为的关联。
1. 对于`Target`,请提供您要与该配置策略解除关联的账户或根目录。 OUs
**解除配置策略关联的 API 请求示例:**
```
{
"ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Target": {"RootId": "r-f6g7h8i9j0example"}
}
```
------
#### [ AWS CLI ]
**要解除账户或 OU 与其当前配置的关联**
1. 从主区域的 Security Hub CSPM 委派管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html) 命令。
1. 对于 `configuration-policy-identifier`,提供要解除关联的配置策略的 Amazon 资源名称(ARN)或 ID。对于该字段,提供 `SELF_MANAGED_SECURITY_HUB` 以解除自行管理行为的关联。
1. 对于`target`,请提供您要与该配置策略解除关联的账户或根目录。 OUs
**解除配置策略关联的命令示例:**
```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```
------
# 在上下文中配置标准或控件
在 Sec AWS urity Hub CSPM [中使用集中配置](central-configuration-intro.md)时,委派的 Security Hub CSPM 管理员可以创建配置策略,指定如何为组织配置 Security Hub CSPM、安全标准和安全控制。委派管理员可以将策略与特定账户和组织单元(OU)相关联。这些策略会在您的主区域和所有关联区域中生效。委派管理员可以根据需要更新配置策略。
在 Security Hub CSPM 控制台上,委派管理员可以通过两种方式更新配置策略:从**配置**页面更新或者在现有工作流的上下文中更新。第二种方法可能很有益,因为在查看安全调查发现时,您还可以发现哪些标准和控件与环境最相关,同时对其进行配置。
上下文配置仅在 Security Hub CSPM 控制台上可用。委派管理员必须以编程方式调用 Security Hub CSPM API 的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) 操作,才能更改组织中特定标准或控件的配置方式。
请按照以下步骤在上下文中配置 Security Hub CSPM 标准或控件。
**在上下文中配置标准或控件(控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。
1. 在导航窗格中,选择以下选项之一:
+ 要配置标准,请选择**安全标准**,然后选择特定标准。
+ 要配置控件,请选择**控件**,然后选择特定控件。
1. 控制台会列出您现有的 Security Hub CSPM 配置策略以及每个策略中选定的标准或控件的状态。在每个现有配置策略中选择启用或禁用标准或控件的选项。对于控件,您还可以选择自定义[控件参数](custom-control-parameters.md)。在上下文中进行配置的过程中,您无法创建新策略。要创建新策略,必须前往**配置**页面,选择**策略**选项卡,然后选择**创建策略**。
1. 更改后,选择**下一步**。
1. 查看更改,然后选择**应用**。这些更新会影响所有与 OUs 已更改的配置策略关联的账户。更新同时在主区域和所有关联区域中生效。
# 在 Security Hub CSPM 中禁用中心配置
在 Sec AWS urity Hub CSPM 中禁用中央配置后,委派的管理员将无法在多个组织单位 () OUs 和之间配置 Security Hub CSPM AWS 账户、安全标准和安全控制。 AWS 区域相反,您必须为每个区域中的每个账户单独配置大部分设置。
**重要**
在禁用中央配置之前,必须先[解除账户及其 OUs当前配置的关联](disassociate-policy.md),无论是配置策略还是自我管理行为。
在禁用中心配置之前,还必须[删除现有配置策略](delete-policy.md)。
禁用中心配置后,将发生以下变化:
+ 委派管理员无法再为组织创建配置策略。
+ 已应用或继承配置策略的账户将保留其当前设置,但会变为自行管理。
+ 组织切换到*本地配置*。在本地配置下,大多数 Security Hub CSPM 设置必须在每个组织账户和区域中单独配置。委派管理员可以选择自动启用 Security Hub CSPM、[默认安全标准](securityhub-auto-enabled-standards.md)以及属于新组织账户默认标准的所有控件。默认标准是 AWS 基础安全最佳实践 (FSBP) 和互联网安全中心 (CIS) AWS 基金会基准 v1.2.0。这些设置仅在当前区域生效,并且仅影响新的组织账户。委派管理员无法更改默认标准。本地配置不支持在 OU 级别使用配置策略或配置。
停止使用中心配置后,委派管理员账户的身份将保持不变。主区域和关联区域也保持不变(主区域现在称为聚合区域,可用于查找聚合)。
选择首选方法,然后按照步骤停止使用中心配置并切换到本地配置。
------
#### [ Security Hub CSPM console ]
**禁用中心配置(控制台)**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。
1. 在导航窗格中,选择**设置**和**配置**。
1. 在**概述**部分,选择**编辑**。
1. 在**编辑组织配置**框中,选择**本地配置**。如果未这样做,系统会提示您解除关联并删除当前的配置策略,然后才能停止中心配置。必须取消账户或 OUs 指定为自我管理的账户与其自我管理配置的关联。您可以在控制台中执行此操作,方法是将每个自行管理账户或 OU 的[管理类型更改](central-configuration-management-type.md#choose-management-type)为**集中管理**和**从我的组织继承**。
1. (可选)为新组织账户选择本地配置默认设置。
1. 选择**确认**。
------
#### [ Security Hub CSPM API ]
**禁用中心配置(API)**
1. 调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API。
1. 将 `OrganizationConfiguration` 对象中的 `ConfigurationType` 字段设置为 `LOCAL`。如果您有现有的配置策略或策略关联,API 会返回错误。要解除配置策略的关联,请调用 `StartConfigurationPolicyDisassociation` API。要删除配置策略,请调用 `DeleteConfigurationPolicy` API。
1. 如果要在新组织账户中自动启用 Security Hub CSPM,请将 `AutoEnable` 字段设置为 `true`。默认情况下,此字段的值为 `false`,并且 Security Hub CSPM 不会在新组织账户中自动启用。(可选)如果要在新组织账户中自动启用默认安全标准,请将 `AutoEnableStandards` 字段设置为 `DEFAULT`。这是默认值。如果不想在新组织账户中自动启用默认安全标准,请将 `AutoEnableStandards` 字段设置为 `NONE`。
**API 请求示例**:
```
{
"AutoEnable": true,
"OrganizationConfiguration": {
"ConfigurationType" : "LOCAL"
}
}
```
------
#### [ AWS CLI ]
**禁用中心配置(AWS CLI)**
1. 运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) 命令。
1. 将 `organization-configuration` 对象中的 `ConfigurationType` 字段设置为 `LOCAL`。如果您有现有的配置策略或策略关联,命令会返回错误。要解除配置策略关联,请运行 `start-configuration-policy-disassociation` 命令。要删除配置策略,请运行 `delete-configuration-policy` 命令。
1. 如果要在新组织账户中自动启用 Security Hub CSPM,请包含 `auto-enable` 参数。默认情况下,此参数的值为 `no-auto-enable`,并且 Security Hub CSPM 不会在新组织账户中自动启用。(可选)如果要在新组织账户中自动启用默认安全标准,请将 `auto-enable-standards` 字段设置为 `DEFAULT`。这是默认值。如果不想在新组织账户中自动启用默认安全标准,请将 `auto-enable-standards` 字段设置为 `NONE`。
```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```
------